À l'ère moderne de l'Industrie 4.0, un changement est en cours. Ce changement, appelé convergence TI-TO, fusionne les systèmes de technologies de l'information (TI) utilisés pour le calcul centré sur les données avec les systèmes de technologies opérationnelles (TO) utilisés pour surveiller les événements, les processus et les appareils. Bien qu’elle annonce une efficacité et une productivité sans précédent, elle ouvre également la voie à des menaces uniques à la cybersécurité, particulièrement dans les industries manufacturières et de services publics. Les secteurs manufacturier et des services publics constituent l’épine dorsale de l’économie mondiale, les héros méconnus souvent éclipsés par des secteurs plus glamour. Pourtant, ils deviennent de plus en plus la cible de cyberattaques, mises en évidence par le récent incident de violation chez Clorox. L’incident révèle que la cybersécurité ne consiste pas seulement à prévenir les attaques - il s’agit d’être prêt et résilient lorsqu’elles se produisent. Cela souligne l’importance d’une évaluation complète du risque de préparation cybernétique pour ces industries essentielles. 

Les secteurs manufacturier et des services publics ont toujours été vulnérables aux menaces physiques, mais l’ère numérique a introduit de nouveaux défis complexes. L’incident Clorox est un exemple parfait de la manière dont les vulnérabilités numériques peuvent paralyser des processus opérationnels cruciaux, perturber la chaîne d’approvisionnement et causer des pertes financières. Dans ce cas, les acteurs de la menace semblent avoir utilisé des tactiques d’ingénierie sociale pour accéder aux systèmes de l’entreprise – un vecteur d’attaque courant en cybercriminalité. Malheureusement, de telles attaques s’inscrivent dans une menace croissante d’ingénierie sociale combinée à des techniques d’attaque de plus en plus furtives et adaptatives. Et les conséquences sont palpables, comme en témoigne le récent dépôt 4K de Clorox, qui indique que l’entreprise a subi d’importantes pertes de ventes trimestrielles, estimées à plus de 500 millions de dollars, en raison de retards de traitement des commandes et de ruptures de produits. De plus, la récente cyberattaque a entraîné une baisse des marges brutes malgré les efforts d’optimisation des prix, d’économies de coûts et de gestion de la chaîne logistique. En conséquence, l’entreprise prévoit une perte par action pour le trimestre. Les efforts de remédiation liés à l’attaque devraient se poursuivre bien en 2024. 

Le piratage de Clorox démontre clairement la nécessité d’avoir des évaluations de risque robustes en place. Il met aussi en lumière l’importance de plans de contingence et de sauvegardes de données pour limiter les dommages et faciliter une reprise rapide. Cependant, malgré l’activation de leur Plan de Continuité des Activités (PCA), Clorox peine toujours à se remettre, ce qui pointe vers des lacunes potentielles dans leur évaluation des risques et leur planification de contingence. 

La nature spécifique des industries manufacturières et de services publics, avec des systèmes réglementés qui doivent être rigoureusement testés avant la reprise de la production, rend l’évaluation du risque de préparation cybernétique d’autant plus cruciale. Toute perturbation dans ces systèmes peut entraîner des retards importants dans la production, la distribution et même la sécurité nationale dans le cas des services publics. 

Les évaluations des risques cybernétiques sont une première étape essentielle pour traiter ces vulnérabilités. Elles permettent aux organisations d’identifier les menaces potentielles, d’évaluer leur impact et d’élaborer des stratégies d’atténuation. Le processus implique de comprendre l’infrastructure numérique de l’entreprise, d’identifier les points faibles et de les prioriser selon la gravité des attaques potentielles. 

Les évaluations des risques jouent aussi un rôle clé dans la définition de la réponse de l’entreprise aux attaques. L’incident Clorox est une étude de cas en gestion de crise, l’entreprise ayant divulgué la violation seulement trois jours après sa découverte. Ce niveau de transparence, élément essentiel de la réponse aux incidents, peut potentiellement protéger l’entreprise contre les dommages à la réputation. 

Cependant, la simple mise en œuvre d’évaluations de risque ne suffit pas. Les tests réguliers et la mise à jour de ces évaluations sont tout aussi importants, car les menaces cybernétiques évoluent continuellement. C’est ici qu’entre en jeu l’Objectif de Temps de Reprise (RTO). De bons PCA doivent avoir des RTO clairement définis, mesurés généralement en heures ou en jours, mais très rarement supérieurs à un mois. 

Le cas Clorox met en avant le besoin vital d’une évaluation complète du risque de préparation cybernétique dans les secteurs manufacturier et des services publics. Ces industries doivent considérer la cybersécurité non pas comme une préoccupation secondaire, mais comme un enjeu d’affaires critique, où une évaluation robuste des risques joue un rôle essentiel dans la préparation et la résilience. Le monde évolue rapidement et, avec lui, le paysage des menaces devient de plus en plus complexe. Pour assurer leur survie et prospérité, les industries doivent faire évoluer leurs défenses en conséquence, et une évaluation approfondie des risques constitue la première étape de ce parcours. 

Comprendre la convergence TI-TO

Historiquement, les systèmes TI et TO fonctionnaient en silos – leurs interactions étaient minimales. Cependant, l’avènement et la montée de l’Internet des objets (IdO) et le besoin de données en temps réel pour la prise de décision ont favorisé la convergence de ces deux domaines. Dans les industries manufacturières et de services publics, cette convergence permet une intégration transparente des chaînes d’assemblage, de la gestion des installations, et même de la logistique de la chaîne d’approvisionnement.  

Les risques inhérents à la cybersécurité 

Bien que les avantages de la convergence TI-TO soient importants, elle ouvre aussi la porte à des risques de cybersécurité. La violation récente met en lumière la vulnérabilité de ces systèmes interconnectés. Un intrus non identifié a exploité une vulnérabilité jusque-là inconnue, causant d’importantes pertes opérationnelles et financières. L’incident Clorox souligne l’importance de l’évaluation des risques pour prévenir de telles violations. 

L’impératif de l’évaluation du risque de préparation cybernétique

L’évaluation du risque de préparation cybernétique dans ce contexte consiste à identifier les vulnérabilités potentielles du système, à évaluer l’impact d’une violation et à déterminer la probabilité de leur occurrence. Ce processus est essentiel pour assurer la sécurité de l’infrastructure TI-TO dans les industries manufacturières et de services publics. 

Identifier les vulnérabilités : La première étape consiste en un audit approfondi des systèmes actuels afin de détecter les faiblesses. Celles-ci peuvent aller de pare-feux inadéquats à des transferts de données non chiffrés. 

Évaluer l’impact : Une fois les vulnérabilités potentielles identifiées, l’étape suivante est de déterminer l’impact d’une violation sur chacune d’elles. Cela implique d’évaluer les pertes financières potentielles, les atteintes à la réputation, et les perturbations opérationnelles qui pourraient survenir. 

Déterminer la probabilité : Enfin, il est essentiel d’évaluer la probabilité de chaque violation potentielle. Cela peut impliquer d’analyser les données historiques sur des violations similaires et de comprendre l’actuel paysage des menaces. 

Mettre en œuvre des mesures de sécurité robustes

À la suite d’une évaluation des risques, les industries doivent mettre en place des mesures de sécurité robustes. Il peut s’agir d’adopter des initiatives de confiance zéro, en plus de renforcer les pare-feu, de sécuriser les transferts de données, d’assurer une surveillance continue des systèmes et de mettre à jour régulièrement les protocoles de sécurité. 

La voie à suivre

L’incident Clorox est un rappel frappant des défis de cybersécurité apportés par la convergence TI-TO. Il souligne la nécessité d’évaluations rigoureuses des risques dans les industries manufacturières et de services publics, afin de protéger non seulement leurs systèmes, mais aussi leur réputation, leur stabilité financière, et surtout, leur capacité à servir leurs clients. 

À mesure que la convergence TI-TO continue de révolutionner les industries, l’évaluation des risques doit se trouver au cœur de la stratégie de cybersécurité. Ce n’est qu’à cette condition que les avantages de cette convergence pourront être pleinement réalisés, sans la menace constante de violations débilitantes.